Согласно платформе для поиска ошибок Immunefi, вознаграждение стало рекордным в истории DeFi-сектора.

Эксперт по безопасности обнаружил в решении второго уровня Polygon критическую уязвимость, которая могла привести к убыткам на $850 млн. Проект выплатил исследователю рекордное вознаграждение $2 млн.

Проект Polygon запустил баунти-программу в сентябре и на нее обратил внимание специалист по кибербезопасности Гехард Вагнер. Он отметил, что Polygon использует для защиты транзакций между своими сетями и Ethereum систему защиты Plasma, которую, по его мнению, сложно надежно реализовать.

Вагнер подробно рассказал о том, как обнаружил уязвимость в «мосте» Plasma Bridge. Эксперт назвал уязвимость «баг удвоения расходов». С помощью ошибки в коде злоумышленник мог бы вывести сумму, в 223 раза превышающую первоначальную стоимость токенов. Внесение каждых $200 тыс. могло бы принести потенциальному хакеру $44,6 млн. В случае эксплуатации уязвимости потери протокола могли составить $850 млн.

Разработчики Polygon согласились выплатить максимальную награду за обнаружение уязвимости в размере $2 млн., что стало крупнейшим вознаграждением за поиск ошибок за всю историю DeFi.

Также разработчики Polygon подтвердили, что баг присутствовал в основной сети. Вагнер предположил, что проблема возникла «из-за использования стороннего кода без его полного понимания». Он подчеркнул, что решение разработчиков оказалось «не слишком утонченным», но со своей задачей справилось.

Источник: securitylab